Угроза: злоумышленник нацеливается на телекоммуникационные компании и изменяет методы защиты при обнаружении

В недавней атаке злоумышленник захватил услуги телекоммуникационных провайдеров и компании по аутсорсингу бизнес-процессов, тщательно изменяя защитные меры, которые применялись при обнаружении атак.

Атаки были выявлены компанией CrowdStrike, которая сообщает, что эти атаки продолжаются с июня 2022 года и все еще продолжаются, а исследователи уже идентифицировали пять различных вторжений. Эти атаки, похоже, имеют денежный мотив.

Исследователи компании CrowdStrike, отслеживающие эти атаки, связали их с низкоуверенным Scattered Spider, который проявляет настойчивость в поддержании доступа, изменении защитных мер, избегании обнаружения и переходе к другим действительным целям, если его остановить.

Что ж, по словам компании по безопасности, главная цель кампаний — это проникновение в телекоммуникационные сетевые системы, получение доступа к информации абонентов и выполнение других действий, таких как замена SIM-карт.

Хакеры получают первоначальный доступ к корпоративному телекоммуникационному сервису, применяя многочисленные техники социальной инженерии, которые включают в себя выдачу себя за сотрудников телекоммуникационной компании, использование таких средств, как SMS или приложение для мгновенных сообщений, например, Telegram, чтобы перенаправить цели на специально созданные фишинговые веб-сайты с логотипом компании.

Что ж, если компания использует MFA (многофакторную аутентификацию), злоумышленники затем применяют уведомления о нажатии MFA Fatigue, что по сути означает, что хакер запускает скрипты, которые пытаются войти с украденными учетными данными снова и снова, создавая ощущение бесконечного потока запросов на MFA на телефон владельца. Также применяются другие тактики социальной инженерии.

Читать: Что такое временная учетная запись? Полезна ли она?

В дополнение к этому, хакеры в одном случае использовали уязвимость CVE-2021-35464 для выполнения кода и повышения своих привилегий, используя случай AWS, воспользовавшись случаем AWS для получения или повышения привилегий пользователя Apache tomcat, злоумышленник затем запрашивает и принимает разрешение на роль экземпляра, используя зараженный токен AWS, сообщает компания по безопасности.

Более того, как только хакеры получают доступ к системе, они пытаются добавить свои устройства в список доверенных MFA, используя скомпрометированную учетную запись пользователя.

CrowdStrike также выяснила, что хакеры используют следующие механизмы удаленного мониторинга и управления для своей кампании,

BeAnywhere  
Domotz  
DWservice  
Fixme.it  
AnyDesk  
Fleetdesk.io  
Itarian Endpoint Manager.  
Level.io  
ManageEngine   
N-Able  
Rport  
ScreenConnect  
Teamviewer  
TrendMicro Basecamp  
ZeroTier  
Pulseway  
Rsocx  
Logmein  
SSH RevShell и RDP туннелирование через SSH  
Sorillus

Большинство из этих программ являются доверенным программным обеспечением, которое используют компании и маловероятно, что они вызовут тревогу в программном обеспечении безопасности. Более того, вторжения, замеченные компаниями по безопасности, указывают на то, что хакеры проявили агрессию в своих попытках поддерживать доступ к взломанной сети, даже после того, как были обнаружены.

Более того, в других двух наблюдениях злоумышленники, по-видимому, стали более активными и применили методы постоянства, такие как доступ через VPN (виртуальная частная сеть) или инструменты RMM, если эти меры защиты применялись медленно.

В некоторых других случаях противник вернулся к некоторым методам серьезности, повторно активировав учетные записи, которые ранее были отключены жертвой.

CrowdStrike также добавила, что злоумышленники использовали различные VPN и провайдеров интернет-услуг для доступа к среде Google Workspace жертвы, и противники получили различные виды шпионской информации, скачали списки пользователей из скомпрометированных арендаторов, использовали WMI и SSH туннелирование и репликацию доменов.

Читать: Вредоносное ПО Dolphin группы A37, использующееся для кражи данных и нацеливания на южнокорейскую газету